AI顶会被“开盒”，“黑暗森林”降临砸懵学术圈

出品｜搜狐科技

作者｜常博硕

编辑｜杨 锦

近日，全球人工智能领域的顶级学术会议ICLR 2026（第十四届国际学习表征会议）突发了一次“开盒”危机。

由于OpenReview投稿平台的一个API权限配置错误，本应处于严格双盲保护下的数万篇论文的评审信息被瞬间去匿名化。在短短数小时内，原本隐匿在幕后的审稿人（Reviewer）、领域主席（Area Chair）与投稿作者之间的身份都被暴露出来，整个学术圈陷入了一场前所未有的“开盒”狂欢与恐慌之中。

“黑暗森林”降临学术圈

2025年11月下旬，对于全球计算机科学（CS），特别是机器学习（ML）领域的研究者而言，是一年中最紧张的时刻之一。此时，ICLR 2026正处于评审周期的关键阶段——反驳期（Rebuttal Period）的尾声。在这一阶段，作者们会针对审稿人提出的初步意见（Initial Reviews）进行激烈的辩护。

尤其是对于那些得到了边缘分数的投稿人，这一阶段尤其重要。很多人都依靠和审稿人的辩论，修改自己的论文，力求能让审稿人回心转意，拉自己一把。

双盲评审（Double-blind Review）是ICLR历年来的传统。在这个制度下，作者不知道谁在审自己的论文，审稿人也不知道自己审的是谁写的论文。这种设计的初衷是为了消除光环效应、性别偏见以及学术圈的山头主义，确保科学评价的纯粹性。然而谁都没想到，学术论文审稿最常用的OpenReview平台会出现系统漏洞。

最初是在Discord群组中，有用户分享了一张截图，显示其能看到某篇ICLR投稿的审稿人真实姓名。刚开始大家都以为这只是某个拥有特殊权限的领域主席（AC）泄露的截图。但很快大家就发现是OpenReview出bug了。随后，ICLR开盒的消息开始在网上迅速传播。

这次的信息泄露方法也非常简单，只要在浏览器上输入某个网址，自行替换成想看的 paper ID和审稿人编号，你就可以找到对应的任何审稿人的身份，知道是谁给你审的论文，知道他给你打了多少分。

有Reddit上的用户表示当时他的实验室一篇混乱：“整个实验室的人都停下了手中的工作，开始疯狂地查询自己论文的审稿人是谁。”

小红书上也开始有各种ICLR审稿大瓜被爆出，社交媒体上到处都是“受害者”在讲故事，有“开盒”别人的也有被“开盒”的。

有人发帖称看到给自己打2分的竟然是自己的微信好友，还有投稿人利用这次泄露事件实锤了自己曾经被打1分的论文审稿人，恶意打低分只是为了给他的同赛道论文“让路”，因为该审稿人五个月后提交了另一篇同赛道论文，但是却不愿意引用投稿人的投稿。

还有人爆料有位审稿人对多篇不同主题的论文，复制粘贴了几乎完全相同的评语，并列出了长达40个所谓的“弱点”和“问题”。但是这些问题大多是通用的废话，或者要求作者进行不切实际的实验，用这些理由来支撑其给出的低分。

在身份泄露后，或许是感受到了即将在社交网络上爆发的声誉危机，这位审稿人将原本给出的低分大幅上调至6分，并留下了一段尴尬的解释：“作者已经尽力解决了我的一些担忧……”

导致此次泄露的核心漏洞其实位于 profiles/search API端点。正常情况下，这个接口可能用于会议组织者查询用户，或者在分配任务时检索特定的委员会成员。但是该接口在处理group参数时，服务器并没有检查发起请求的用户是否属于该组或者检查发起请求的用户是否有权查看该组的成员，而是盲目地信任了请求，并输出了该组所有成员的详细资料。

具体来看，攻击者只需构造如下的GET请求：https://api2.openreview.net/profiles/search?group=ICLR.cc/2026/Conference/Submission{Paper_ID}/Reviewer_{k}

其中Paper_ID是公开可见的论文编号，Reviewer_{k}是审稿人的匿名代号。只要将上述URL中的参数替换为目标论文的信息，服务器就会直接输出该审稿人的真实姓名或邮箱、过往工作经历、教育背景、导师关系等等。

同样的方法，只需将 Reviewer_{k} 替换为 Authors 或 Area_Chair_{k}，即可查询处于盲审阶段的作者信息或领域主席信息。这意味着，不仅作者可以查审稿人，审稿人也可以查作者，甚至可以查到是谁在做该论文的AC。

在这次Bug出现之前，双盲评审其实就是一片“黑暗森林”，大家互相隐藏身份，只通过论文和评审意见交流。

漏洞之后，“森林”的迷雾被强行驱散，所有人都暴露在彼此的目光下。但作者、审稿人、AC之间的权利关系没有变，甚至因为暴露而变得更加紧张。作者不敢轻易投诉审稿人，因为投诉意味着承认自己查看了泄露数据，违反了ICLR的行为准则。审稿人也不敢坚持低分拒稿，因为担心被作者“记小本本”日后报复。

社交媒体上甚至出现了关于报复的讨论：如果我知道谁是我的审稿人且给了我低分，我是否应该在下次遇见他的时候故意给一个低分报复回去？或者，我现在是否应该发邮件威胁审稿人改分？

组委会按下“一键重启”

事件发生后，ICLR组委会向所有参与者发送了官方邮件，宣布了一系列激进的补救措施。

首先是全面更换领域主席（Reassigning ACs），为了切断潜在的利益输送链条，所有投稿论文将被重新分配给新的领域主席。

随后采取评审数据重置，组委会决定将所有论文的评审分数强制重置到讨论期开始前的状态。同时，作者与审稿人在讨论期的对话记录被保留，供新AC参考。

为了防止针对个人的网络暴力和人肉搜索，所有论文的公众评论功能被永久关闭。同时官方声明明确指出，任何利用泄露信息进行骚扰、贿赂或试图影响评审结果的行为，一经发现，将导致直接拒稿。

这下，rebuttal长评直接被打回原形、熬夜讨论的反驳意见，一下子变成了无用功……这引起了很多人的不满。

因为许多作者在长达两周的反驳期内，投入了巨大的精力。有人说自己重写了代码，逐条回复了审稿人的质疑，并成功说服审稿人将分数从3分改为6分。

现在，一夜之间，分数直接回到了3分。虽然官方承诺新AC会参考对话记录，但作者们普遍认为，在AC面临巨大工作压力时，一个醒目的3分往往比长篇累牍的对话记录更具决定性。

新上任的AC也面临着不可能完成的任务。每位AC通常负责数十篇论文，要在很短的时间内，针对每一篇陌生的论文，重新阅读原始论文加上3到4份评审意见还得读所有的反驳对话。

有人估算，要认真完成这一任务，每位AC需要投入大几十个小时。这对于大多身兼教学和科研重任的教授来说，是不现实的。结果很可能是，AC们不得不依赖AI来辅助决策。

这次数据泄露的时候，还有人利用爬虫工具，爬走了整份名单，还搞起了数据分析。有的人评选出了打分异常低的审稿人的名单，还有人做了国别统计认为中国人普遍打分比较慷慨，韩国人比较严格。

随后，OpenReview 平台的工作人员表示，对此次漏洞利用事件他们表示高度关切。为了维护社区的信任与匿名性，OpenReview目前已采取具体措施加强防护，并正在进行彻查。

在官方声明中，OpenReview在发现漏洞并于当天上午发布补丁后，团队随即开始了补救措施，包括聘请外部网络安全和取证调查公司、进行代码审计、分析日志数据以确定未授权活动的范围，并与相关出版场所（Venues）进行适当的沟通和协作等等。

同时针对爬虫攻击，他们也正在积极与互联网平台、执法部门和其他机构合作，要求删除这些数据，并追究相关责任人的行为。

OpenReview 还强调，任何对审稿人身份的不当访问都违反了 OpenReview 的服务条款和多项行为准则，并破坏了社区规范。任何获取此类数据或其衍生数据的人都应删除所有副本，并不得进一步使用或传播。

声明最后，官方表示，科学平台的力量依赖于诚信、善意和相互尊重的规范。呼吁每一位ICLR成员在面对此次事件时保持克制，特别是对可能受影响的同事给予同理心，共同维护开放、协作和严谨的科学环境。

运营编辑 |曹倩审核｜孟莎莎